Аффилированные лица Lockean, занимающиеся несколькими программами-вымогателями, причастны к атакам на французские организации

42
Windows 11 снова взломана на Pwn2Own, Telsa Model 3 также падает

Подробности об инструментах и ​​тактике, используемых партнерской группой по программам-вымогателям, которая теперь отслеживается как Локк, появились сегодня в отчете французской группы реагирования на компьютерные чрезвычайные ситуации (CERT).

За последние полтора года злоумышленник взломал сети по меньшей мере восьми французских компаний, похитив данные и развернув вредоносное ПО из нескольких операций «программа-вымогатель как услуга» (RaaS).

Принадлежность к Multi-RaaS

Активность Локка была впервые замечена в 2020 году, когда актер ударил французскую компанию в производственном секторе и развернул в сети программу-вымогатель DoppelPaymer.

В период с июня 2020 года по март 2021 года Локкан атаковал еще как минимум семь компаний с различными семействами программ-вымогателей: Maze, Egregor, ProLock, REvil.

Среди скомпрометированных предприятий — транспортная компания Gefco, газета Ouest-France, а также фармацевтические компании Fareva и Pierre Fabre.

Еще четыре компании, не названные CERT-FR, были идентифицированы как жертвы Локкана из отчетов ANSSI, национального агентства по кибербезопасности Франции, и двух инцидентов, описанных частными организациями Intrinsec и The DFIR Report.

В большинстве атак, описанных в отчете , злоумышленник получил первоначальный доступ к сети жертвы через Qbot / QakBot, банковский троян, который изменил свою роль на распространение другого вредоносного ПО, включая штаммы вымогателей ProLock, Egregor и DoppelPaymer.

Qbot распространялся через электронные письма от ныне не существующего ботнета Emotet, а также через менее известную службу распространения вредоносных программ, известную как TA551, также известную как Shathak, UNC2420 и Gold Cabin.

По крайней мере, в одном известном случае Локкин использовал службу распространения вредоносного ПО IcedID для получения доступа к сети.

Для бокового перемещения злоумышленник использовал среду тестирования на проникновение Cobalt Strike и свободно доступные инструменты Adfind, BloodHound и BITSadmin.

В отчете CERT-FR отмечается, что в среднем Локк уплачивает 70% выкупа, а остальное достается разработчикам RaaS.

Чтобы увеличить прибыль, злоумышленник применил модель двойного вымогательства и украл данные у жертвы (с помощью инструмента Rclone) перед шифрованием машин.

Под угрозой утечки данных, которая влечет за собой более серьезные правовые последствия и конфиденциальность, жертвы с большей вероятностью заплатят согласованный выкуп.

Хотя данные CERT-FR о тактике, методах и процедурах Локкана основаны на восьми инцидентах, группа, вероятно, более активна и поразила большее количество компаний.

Глядя на индикаторы компрометации в отчете, Валерий Маркив из LegMagIT обнаружил несколько IP-адресов, связанных с программой-вымогателем Conti, что указывает на причастность Локка к дополнительным операциям RaaS и нацеливание на предприятия в других регионах.

Lockean — второй партнер, связанный с программами-вымогателями, выявленный в этом году. В августе ФБР поделилось информацией об OnePercent , актере, который атакует организации в США с помощью различных штаммов вымогателей.

Как и Lockean, OnePercent участвует в нескольких операциях RaaS (Maze, Egregor, REvil) и крадет данные перед развертыванием процедуры шифрования файлов.

Последнее обновление 11 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии